Fortinet sotto attacco: in vendita exploit zero-day per firewall FortiGate

Un utente anonimo ha pubblicato un annuncio nel forum underground chiuso Exploit, che ha immediatamente catturato l'attenzione della comunità della sicurezza informatica: la vendita di un exploit zero-day per i firewall Fortinet, che consentirebbe l'accesso completo e non autenticato ai dispositivi vulnerabili.

Il post è apparso sul forum underground exploit.in nella sezione dedicata a malware ed exploit commerciali. L'attacco Unauthenticated Remote Code Execution (RCE) consentirebbe l'accesso completo ai dispositivi vulnerabili senza la necessità di autenticazione. Il prezzo per questo exploit è di 6.500 dollari.

Al momento non è possibile verificare in modo indipendente l'autenticità delle informazioni riportate, poiché l'organizzazione coinvolta non ha ancora rilasciato una dichiarazione ufficiale sul suo sito web.

L'annuncio, estremamente dettagliato, elenca i file e le informazioni che lo strumento in vendita sarebbe in grado di estrarre: account VPN e GUI, credenziali e autorizzazioni dell'amministratore, stato e configurazione 2FA, tutte le policy del firewall, configurazioni SSL-VPN e IPsec, backup completi del sistema, tabelle di routing, log di sistema, certificati SSL e licenze per gli abbonamenti Fortiguard.

L'autore sottolinea che non sono necessarie credenziali per sfruttare l'exploit e ottenere il pieno controllo del dispositivo.

Non c'è una conferma ufficiale da Fortinet sull'autenticità dello zero-day, ma la natura tecnica del post e il linguaggio utilizzato suggeriscono che si tratta di una minaccia concreta.

Fortinet ha pubblicato un'analisi approfondita di un attacco su alcuni dispositivi vulnerabili a CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762. Dopo aver sfruttato le vulnerabilità dei dispositivi non aggiornati, gli hacker hanno creato un collegamento simbolico, che collega il filesystem dell'utente con il filesystem root del firewall, in una cartella utilizzata per servire i file di lingua per il portale di accesso SSL-VPN.

Con questa tecnica, gli attori delle minacce sono stati in grado di mantenere l'accesso in sola lettura ai firewall compromessi anche se erano stati aggiornati. Fortinet è intervenuta per mitigare l'incidente, aggiornando le firme Antivirus e IPS al fine di identificare e rimuovere i collegamenti sospetti, e ha introdotto un meccanismo per rilevare e rimuovere i collegamenti simbolici.

Il Computer Emergency Response Team francese (CERT-FR) ha rivelato che questa tecnica è stata utilizzata in un'ondata massiccia di attacchi a partire dall'inizio del 2023 e invita tutti gli amministratori di sistema ad aggiornare i propri dispositivi e ad implementare tutte le mitigazioni indicate. La CISA americana ha invitato gli operatori di rete a segnalare eventuali incidenti e attività anomale relative al rapporto Fortinet al suo Operations Center operativo 24 ore su 24, 7 giorni su 7. Il CSIRT italiano pubblica un bollettino sulle tecniche di post-exploitation e invita all'aggiornamento immediato dei dispositivi.

Il presunto zero-day in vendita rappresenta una minaccia attuale e potenzialmente devastante, mentre l'analisi di Fortinet mostra che i dispositivi già compromessi possono contenere meccanismi di controllo persistenti invisibili, anche dopo gli aggiornamenti. I due eventi non sono direttamente correlati, ma condividono un denominatore comune: la crescente attrattiva dei dispositivi perimetrali FortiGate come obiettivo critico per gli attacchi avanzati.